GGD en haar data – Hoe zit het echt? Een repliek

GGD-medewerkers opereren al ruim 10 maanden in de vuurlinie, net als al die andere zorgprofessionals. Met man en macht wordt gewerkt aan dat ene ultieme doel: het coronavirus bestrijden. Een missie waar wij vol voor gaan door te testen, vaccineren en het doen van bron- en contactonderzoek. Deze week zijn wij allemaal opgeschrikt door het bericht over het onzorgvuldig omgaan met bijzondere persoonsgegevens en het stelen van data uit onze GGD-systemen. Een uitermate serieus en schokkend incident. Er is sprake van een ernstig misdrijf met grote impact. Voor ons en eigenlijk voor iedereen in Nederland.

De afgelopen week is er veel gesproken, geschreven en gespeculeerd over deze zaak. Verhalen over de GGD en de veiligheid en beveiliging van onze data en ICT-systemen volgden elkaar in rap tempo op. Verhalen vol feiten en verzinsels, onjuistheden en onvolledigheden, terechte en onterechte kritiek. Maar hoe zit het nu echt? Een repliek.

Spijt
Deze ernstige situatie roept heel begrijpelijk allerlei emoties op. Bij ons als GGD’ers en ook bij mensen in Nederland. Mensen die zich hebben laten testen, vaccineren en mee hebben gedaan aan bron- en contactonderzoek. Emoties als verontwaardiging, verdriet en frustratie. Bezorgdheid en boosheid. Ongeloof en onbegrip. Wij begrijpen dat heel goed. Wij voelen ook die pijn. Het spijt ons dat dit zo heeft kunnen gebeuren. Omdat dit afleidt van waar we ons in het land allemaal mee bezig zouden moeten houden: ervoor zorgen dat we dat verwoestende en ontwrichtende coronavirus onder controle krijgen én houden. Daar zou alle focus en energie op gericht moeten zijn. Ook die van ons.

Hart voor de publieke gezondheid
Het versterken van de publieke gezondheid en de veiligheid. Dat is de taak en rol van GGD’en in ons Nederlandse systeem. Een taak en rol die wij met hart en ziel uitoefenen. De gezondheid van ons allemaal drijft ons. Daarom zijn wij al maandenlang in de weer. Alle dagen van de week. Met vele duizenden mensen. En dat aantal groeit nog iedere dag. Duizenden gedreven mensen die hart hebben voor hun werk en de publieke gezondheid. Duizenden mensen die zich volledig focussen op het bestrijden van het coronavirus. Daar is alles wat we doen op gericht. Voorkomen dat mensen ziek worden. Of erger. Op een integere en betrokken manier.

Geen waarnemingen verkoop of verhandeling
Maar de zaken zijn zoals ze zijn. Niet iedereen blijkt met deze integere en betrokken intentie bezig te zijn geweest. Mensen die werken voor een GGD zijn op een onjuiste en onzorgvuldige manier omgegaan met persoonsgegevens. Persoonsgegevens van burgers zijn gestolen. En het lijkt erop dat zij die gegevens uit onze GGD-systemen te koop hebben aangeboden of gedeeld met onbevoegden. Voor de duidelijkheid: wij (GGD en politie en justitie) hebben vernomen dat er datasets worden aangeboden, maar er is niet waargenomen dat deze ook daadwerkelijk zijn verkocht of verhandeld. Dit is allemaal nog onderdeel van het grootschalige en grondige onderzoek van politie en justitie. Zij nemen deze situatie zeer hoog op. En daar zijn wij blij mee.

De gelegenheid maakt de dief
Hoe het ook precies blijkt te zitten, wij kunnen er niet omheen dat dit heeft kunnen gebeuren. Mensen hebben misbruik kunnen maken van data omdat ze daar ruim toegang toe hadden. De gelegenheid maakt de dief. Wij hebben naar eer en geweten keihard gewerkt en keihard ons best gedaan. Maar het was niet genoeg. Er zijn fouten gemaakt. Daar lopen wij niet voor weg.
Wij willen hier wel wijzen op de context waarin wij keuzes hebben gemaakt en hebben moeten maken. Het coronavirus golfde en golft nog steeds over het land. Al onze focus lag op de gezondheid van ons allemaal en het bestrijden van het virus. Ervoor zorgen dat zoveel mensen zo snel mogelijk getest konden worden. Dat was de opdracht die we kregen. In die strijd hebben we lastige keuzes moeten maken over systemen en de inrichting daarvan.

En waar keuzes worden gemaakt, worden óók fouten of verkeerde keuzes gemaakt. Niet bewust of opzettelijk. Maar wel fouten of verkeerde keuzes, omdat je achteraf moet constateren dat ze tot onwenselijke situaties hebben geleid. Zoals nu. Kwaadwillenden zijn moedwillig en onrechtmatig aan de haal gegaan met persoonsgegevens. Dat had niet mogen gebeuren.

Twee systemen
GGD’en werken met twee systemen. CoronIT en HPZone. CoronIT is het administratiesysteem voor het test- en vaccinnatieproces en de communicatie hierover. Dus als iemand een afspraak maakt voor een coronatest of een vaccinatieafspraak, komen zijn of haar persoonsgegevens in CoronIT. Daarnaast werken we met HPZone. Dat is een elektronisch dossier dat we gebruiken bij het bron- en contactonderzoek. Speciaal voor de bestrijding van de coronapandemie wordt er gewerkt met een uitgeklede versie van HPZone: HPZone Lite.

CoronIT
CoronIT is een relatief nieuw systeem. Hier zijn de GGD’en mee gaan werken toen wij de opdracht kregen van het ministerie van VWS om mensen te gaan testen op het coronavirus. Dit was tot dat moment geen rol van de GGD. Alles is in zeer korte tijd en onder zeer hoge druk opgetuigd. Want het virus wachtte niet. Er moesten zo snel mogelijk teststraten komen. En een systeem waarin de gegevens kwamen te staan. Een goed en veilig systeem– en dat is het ook.
Is het perfect? Zeker niet. Werken we continu aan het verbeteren van het systeem? Bijvoorbeeld op het gebied van informatieveiligheid en privacy, controles en analyses? Absoluut. Overigens zijn er in het najaar van 2020 naar aanleiding van berichten in de media vragen aan ons gesteld door de Autoriteit Persoonsgegevens (AP) over CoronIT. Deze vragen hebben wij beantwoord, waarna de AP geen aanvullende vragen had.

Voor zover wij nu kunnen overzien zijn er persoonsgegevens van individuen uit CoronIT gehaald. Geen datasets met gegevens van duizenden (of meer) mensen. En voor zover wij nu kunnen overzien heeft dit weinig tot niets te maken met het falen, disfunctioneren of de eventuele onveiligheid van het systeem. In dit geval gaat niet om systeemfouten, maar om boosaardige opzet en de drang om over de rug van anderen wat te verdienen.

Als kwaadwillende mensen moedwillig gegevens uit een systeem halen, dan is dat bijna niet te voorkomen. Elk systeem is zo sterk als de zwakste schakel en meestal zijn de mensen de zwakste schakel. Dat lijkt ook in dit geval zo te zijn. Wij zijn blij dat er afgelopen weekend – toen bekend werd dat er persoonsgegevens buiten onze ‘poorten’ terecht waren gekomen – direct twee mensen zijn gearresteerd.

HPZone
En dan hebben we nog HPZone. Een systeem uit 2003. Een systeem dat al jarenlang gebruikt werd door 23 GGD’en voor de infectieziektebestrijding. Een systeem waar een kleine groep artsen en verpleegkundigen mee werkte als ze te maken kregen met een lokale uitbraak van een infectieziekte. Een systeem dus voor en van specialisten waar zij al buitengewoon lange tijd op zeer kleine schaal en binnen elke GGD apart probleemloos mee werkten.

Toen corona uitbrak is er onder hoge druk en in korte tijd de keuze gemaakt om HPZone als basis te blijven gebruiken voor het uitvoeren van bron- en contactonderzoek; dit werd HPZone Lite. We hadden niks beters. Zo konden we snel van start en snel handelen. En dat wilden wij ook, want corona dreigde ons land te overspoelen.

En ja, wij weten en wisten dat HPZone (Lite) niet geschikt is om zo grootschalig en zo intensief te worden gebruikt als nu nodig is bij het bestrijden van de coronapandemie. Daar zijn wij al maanden heel transparant en eerlijk over. Als geen ander kennen wij de beperkingen van het systeem. Het is echter onvermijdelijk dat HPZone een relatief open systeem is. Dit is nodig om dat te doen waar het systeem bij moet helpen: infectieziektebestrijding. Dus daar is bij de keuze van de inrichting vanuit gegaan. Ook toen in plaats van een handvol gespecialiseerde artsen en verpleegkundigen duizenden mensen in het systeem gingen werken.
Van die openheid hebben bepaalde lieden nu misbruik gemaakt. Zij hebben tegen de regels en voorschriften in persoonsgegevens uit HPZone gehaald en die te koop aangeboden. Om hoeveel gegevens het gaat en van wie, daar kunnen we nu nog niets over zeggen. De fout zit hier in de menselijke keuze om iets volstrekt laakbaars te doen in combinatie met een systeem dat relatief open (en daardoor kwetsbaar) is.

Dat is ook precies de reden waarom we – samen met het ministerie van VWS – al maanden werken aan een nieuw systeem. Een systeem dat voldoet aan de huidige eisen (qua veiligheid en gebruikersvriendelijkheid) en omstandigheden (het indammen van een landelijke pandemie waar duizenden mensen dagelijks mee bezig zijn). Alles is erop gericht om dit systeem GGD Contact – samen met het bijbehorende BCO-portaal – in maart operationeel te hebben voor de coronabestrijding. Dan kunnen we afscheid nemen van HPZone Lite bij de bestrijding van de coronapandemie. Het is uiteraard wel belangrijk dat dit systeem dezelfde functionaliteiten heeft die cruciaal zijn in deze pandemiebestrijding. Zoals de koppeling met het RIVM. Daar werken we ook aan.

En nu?
Nu gaan we in eerste instantie ‘gewoon’ door met het bestrijden van de pandemie. En daarbovenop werken we met vereende krachten aan het vergroten en verbeteren van de veiligheid van onze systemen en het opsporen van onrechtmatigheden. We werken nauw en intensief samen met politie, justitie en data- en cybercrimespecialisten om fouten die zijn gemaakt door mensen én systemen te traceren. Mensen die buiten hun boekje zijn gegaan zullen worden ontslagen. Heel simpel. En zwakke plekken in de beveiliging zullen worden opgespoord en verstevigd.

We nemen allerlei beheermaatregelen om de veiligheid en vertrouwelijkheid beter te kunnen waarborgen. Bepaalde functionaliteiten gaan ‘op slot’ voor de meeste gebruikers. Helemaal ‘op slot’ kunnen we HPZone Lite niet zetten. Eenvoudigweg omdat we dan de infectieziektebestrijding in het slot zouden gooien. Dat mag natuurlijk nooit gebeuren. Het virus is nog allesbehalve onder controle. Bovendien laten we een externe audit uitvoeren naar het gebruik van de data door de GGD en onze partners.
Door al deze daden willen wij het vertrouwen herstellen. Want juist omdat wij staan voor die publieke gezondheid, weten wij als geen ander dat vertrouwen een cruciaal element is om onze rol in de virusbestrijding goed te vervullen. We kunnen er niet omheen. Door deze datadiefstal heeft het vertrouwen van mensen in de GGD en in het werk dat we doen een forse deuk opgelopen. Zij vragen zich – begrijpelijkerwijs – af of hun zeer gevoelige en persoonlijke informatie bij ons wel in veilige handen is. Het heeft nu topprioriteit om die veiligheid te vergroten en het vertrouwen te herstellen.

Speciaal nummer voor mensen met vragen
Wij begrijpen heel goed dat mensen van wie de gegevens in onze systemen zitten ongerust zijn en vragen hebben. Daarom hebben wij een speciaal telefoonnummer ingesteld waar zij terecht kunnen met hun vragen en zorgen: 085-1308226. Dit nummer is vanaf 29 januari 2021 bereikbaar van 09.00 tot 21.00 uur, 7 dagen in de week.

VRAGEN EN ANTWOORDEN DATADIEFSTAL